Mimail.J
transpose l'arnaque de type phishing au mode virus
Le ver de réseau utilise les mêmes méthodes d'usurpation d'interfaces - celles de PayPal notamment - que certaines arnaques diffusées par spam, mais bénéficie d'une propagation à plus grande échelle. (Jeudi
20 novembre 2003)
Comme nous le relations dans notre édition
du 4 novembre et dans notre brève
de lundi, les versions du ver Mimail se multiplient à un rythme soutenu.
Après la version C proposant des photos soit disant indiscrètes
et la version I armée d'une fausse interface de mise à jour de données
Paypal (filiale d'eBay offrant un système de paiement en ligne), Mimail
J continue dans la voie.
Mais son impact semble cette fois-ci bien supérieur à celui de son
prédécesseur. Selon MessageLabs,
quelque 35 000 utilisateurs auraient été touchés dans
la seule journée de mardi (la version I n'a, même à son paroxysme,
jamais dépassé les 5 200 victimes par jour).
Le
filon du phishing ou scam Le système de paiement PayPal était
jusqu'à présent coutumier d'attaques de type spam frauduleux - autrement
appelées phishing ou scam - consistant à faire venir
des internautes sur des interfaces falsifiées de collecte d'informations
bancaires - par le biais de sites ou de pages miroirs - dans le but d'exploiter
par la suite ces données à l'insu de leur propriétaire.
Fin septembre, certains clients de Yahoo, de la banque Barclays et de Paypal avaient
d'ailleurs fait les frais de cette arnaque (lire notre
article). Les versions I et J de Mimail exploitent donc ce même filon
mais sous la forme d'un virus (et non plus d'un simple mail non sollicité),
ce qui revient presque à la même chose puisque le ver, une fois installé
sur le poste infecté, se diffuse massivement à toutes les adresses
de courrier électronique qu'il trouve dans la mémoire cache d'Internet
Explorer.
Un passage au mode industriel Le mode de propagation de cette arnaque
à grande échelle se trouve donc automatisé grâce aux
désormais traditionnels composants embarqués dans ce genre de code
malicieux (notamment le serveur SMTP autonome). L'auteur n'a donc plus besoin
de collecter des milliers de courriels au préalable puisque le ver le fait
pour lui au fur et à mesure de sa diffusion. Il reste à comprendre
pourquoi la version J a été plus efficace que la version I, alors
que rien n'a été changé dans la code du ver à part
le titre du mail et le message véhiculé...
- Désactivez l'option
de restauration du système (Windows Me/XP)
- Actualisez les définitions de virus.
- Effectuez l'une des opérations suivantes : Windows 95/98/Me : Redémarrez lordinateur en mode sans échec. Windows Me/2000/XP : Terminez le processus malveillant.
- Exécutez une analyse complète du système et éliminez
tous les fichiers détectés comme W32.Mimail.J@mm.
- Supprimez la valeur
"SvcHost32"="%Windir%\svchost32.exe"
de la clé de registre : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- Supprimez les fichiers non malveillants déposés par W32.Mimail.J@mm.S
:
%Windir%\zp3891.tmp
%Windir%\ee98af.tmp
%Windir%\el388.tmp
C:\ppinfo.sys
C:\pp.hta
C:\pp.gif
>> Autre méthode manuelle, celle de Trend Micro (en anglais)